Beveiligingsincidenten en datalekken

De school is verplicht om een datalek te melden aan de Autoriteit persoonsgegevens (AP) en mogelijk ook aan betrokkenen. In dit handboek wordt geregeld hoe er gehandeld moet worden indien er (mogelijk) sprake is van een beveiligingsincident aangaande de beveiliging van persoonsgegevens waarvoor de school verwerkingsverantwoordelijke is en welke afwegingen de school maakt om vast te stellen of er daadwerkelijk sprake is van een datalek dat moet worden gemeld aan de AP en/of de betrokkene. Dit handboek is gebaseerd op het bepaalde in artikel 33 en artikel 34 van de AVG.

 

Werkwijze

In het protocol is vastgelegd welke stappen de school dient te doorlopen om te kunnen voldoen aan de wettelijke verplichting een datalek – indien noodzakelijk – op de juiste wijze en aan de juiste instanties te melden. Hiertoe is van belang dat indien bij de school een signaal binnenkomt dat er mogelijk sprake is van een beveiligingsincident steeds stap voor stap het protocol wordt doorlopen. Het beginpunt is daarbij steeds het verzamelen van volledige en juiste informatie en vervolgens zal op basis van de in het protocol opgenomen schema’s worden vastgesteld of de school ook toekomt aan een volgende stap van het protocol.

Voor een goede werkwijze is het van belang dat alle besluiten die de school neemt op basis van de overwegingen die zij moet maken in het kader van dit handboek, deugdelijk worden onderbouwd en gemotiveerd en worden vastgelegd en bewaard. Dit is onder andere van belang om intern te kunnen monitoren op welke wijze en op basis van welke overwegingen de besluiten zijn genomen.

Zie ook de bijlagen bij het protocol.